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Cyber-(T)raum für Kriminelle 
e Rahmenbedingungen 


Internet-Anonymität = sehr geringes Entdeckungsrisiko 
Kein „Vor-Ort-Risiko“, Angriff aus der Internet-Ferne 
Gleichzeitiger Angriff auf zahlreiche Opfer 

Massenhaft unzureichend geschützte Opfer 

Billige Grundausstattung < 1000€ 


Sehr preiswerte Tatwerkzeuge < 100€ 
(Malware, Spam, DDoS, Bots, ...) 


Anonyme Zahlungsmittel 
Permanenter Nachschub an Software-Schwachstellen 


Eldorado Cyber-Raum 


Cyber-(T)raum für Kriminelle 
e Folgen 


Arbeitsteilige industrielle Cyber-Kriminalität 

350.000.000 klassische Schadprogramme weltweit 
4.500.000 „mobile“ Malware weltweit 

Extrem schnell agierende Cyber-Kriminelle 

1.200 Botnetze 

Millionen gestohlener Identitäten in Deutschland 

> 65.000 DDoS-Angriffe p.a. in Deutschland 

1/3 der Unternehmen erlebten Cyber-Attacken in den letzten 
drei Jahren 
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Strategien für Cyber-Sicherheit u, 
O Risiko für Täter erhöhen J O 
O Verstärkte polizeiliche Aktivitäten, internationale Kooperation 
O Gewinnerwartung bei Cyber-Angriffen schmälern ES 


7 Sicherheitsniveau in der Breite erhöhen ee 

a Good Practice, Erfahrungsaustausch, Kooperation TIPP 
O Aktionsfreiräume der Täter verkleinern wi 

o Zeitraum des unentdeckten Angriffs verkürzen | IN 


o Paradigmenwechsel Prävention, Detektion, Reaktion 
7 „Cyber-Diebstahlsperre“, Regulierung 
I IT-Sicherheitsgesetz (Änderungen TMG, TKG, KRITIS) 
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80 Partner 
38 Multiplikatoren 
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o Paradigmenwechsel Prävention, Detektion, Reaktion 
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Bene IT-Grundschutz im Cyber-Raum 
Sicherheitsniveau in der Breite erhöhen 





Anforderungen an den IT-Grundschutz im Cyber-Raum 
O Zeitnahe Adaption realer/neuer (Cyber-)Gefährdungen 
O Schnellere Bereitstellung von Inhalten/Empfehlungen 
7 Zielgruppe erweitern um kleine/mittelständische Institutionen 
O Integration von industrieller IT 
O Skalierbarkeit 
O Vorgehensweise, Aufwand, Schutzbedarf (normal, hoch) 
O Paradigmenwechsel: 
O Nicht alle Angriffe lassen sich präventiv beherrschen 
O -> Integration von Detektionsprozessen 
I Betonung der Risikomanagement-Prozesse 
O Kompatibilität zu ISO 27001 
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Modernisierung des IT-Grundschutzes 





O Breite Beteiligung aller Zielgruppen (2014/2015) 
Eingebunden wurden 
O IT-Grundschutz-Anwender 
O Verwaltung (Bund, Länder, Kommunen) 
O Wirtschaft (Großunternehmen, KMU) 
7 Auditoren 
O IT-Sicherheitsberater 
O Hersteller von IT-Grundschutz-Tools 


o Hohe Zustimmung zu Modernisierungsansätzen 





Design-Entscheidungen 


- I Informationstechnik Skal ierba rkeit Sch utzbedarf 





Dreistufige Maßnahmensortierung: 


O Erstmaßnahmen 
I die „allerwichtigsten“ Maßnahmen 
I sollten prioritär umgesetzt werden (-> 20:80-Vorgehensweise) 
o Basismaßnahmen 
O erzeugen zusammen mit den Erstmaßnahmen eine 
angemessene IT-Sicherheit für den „Normalfall“ 
THochschutz-Maßnahmen 


7 Naheliegende Maßnahmen zum erhöhten Schutz von 
Vertraulichkeit (C), Integrität (1) und/oder Verfügbarkeit (A) 
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Schutzbedarf 














IT-Landschaft 
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Informationstechnik Aufbau der Bausteine 
Zielgruppe: CISO 





FT Umfang: ca. 10 Seiten! 
O Beschreibung 
O Einleitung SY5321:Applei0s 
O Zielsetzung T 
og Abgrenzung 
O Gefährdungslage 
7 Maßnahmen als Anforderungen 
O Erstmalßsnahmen 
O Basismaßßnahmen 
7 Maßnahmen für erhöhten Schutzbedarf 
O Referenzen auf weiterführende Informationen 


o Anlage: Kreuzreferenztabelle zu Elementaren Gefährdungen 
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Zielgruppe: Umsetzer der Maßnahmen 





OUmfang: beliebig 
O Gliederung lehnt sich an Bausteine an 
O Beschreibung S T E 
Baustein ORG.XY.Z: Personal 
O Einleitung en 
g Lebenszyklus 
O Zielsetzung 
O Maßnahmen als Umsetzungshilfen 
o Erstmaßnahmen 
O Basismalßsnahmen 
O Maßnahmen für erhöhten Schutzbedarf 
O Referenzen auf weiterführende Informationen 
O Alte IT-GS-Bausteine, Studien, Herstellerdokumentation etc. 
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IND.1 ERP/MES-Anbindung von ICS 
_ IND.2 ICS-Komponenten 
A IND.3 Produktionsnetze 





f _ORP.1 Organisation 


\ | / ORP.2 Personal _ 
\ IND (Industrielle IT) 


J \ ORP Organisation und Personal “ ORP.3 Informationssicherheit im Projektmanagement _ 
IND.4 Industrielle Fernwartung / \ \__ORP.4 Identitäts-Management 


„ APP.] E-Mail/Groupware/Kommunikation | | \_ORP,S5 Sensibilisierung und Schulung _ 
i „_APP.2 Verzeichnisdienst_\ | | CON.1 Malware-Schutz _ i 
j APP.3 Netzbasierte Dienste } APP (Anwendungen) [ CON.2 Kryptokonzept B 
__APP.4 Business-Anwendungen \ / _CON.3 Datenschutz 


a APP.5 Client-Anwendungen / | SEE SIR __CON Vorgehensweisen © CON.4 Hochverfügbarkeitskonzeption 
_SYS.1 Server | 


Systeme _(IT-Grundschutz ) | & Prozesse |/ 
„_SYS.2 Desktop-Systeme | nr] 


„_.SYS.3 Mobile Devices \ 
= SYS.4 Sonstige Systeme / __OPS.1 Eigener IT-Betrieb _ 
__NET.1 Netze \ OPS IT-Betrieb / OPS.3 IT-Betrieb für Dritte _ 
__NET.2 Funknetze \ | \_OPS.2 IT-Betrieb von Dritten _ 
_ NET.3 Schutz von Netzen ? NET (Netze und Kommunikation) JI 


| DER.1 Detektion 
_ NET.4 Netzkomponenten _ | \ | _DER.2 Security Incident Management _ 
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p IT-Grundschutz-Profile 





O Profile beziehen sich auf typische IT-Szenarien 
7 Beispiele: Kommunalbehörde, Krankenhaus, Cloud-Anbieter 
O Profile bestehen aus: 
7 Ausgewählter Vorgehensweise m, 
7 Ausgewählten Bausteinen 
7 Ausgewählten Maßnahmen in den Bausteinen 
a Ggf. ergänzenden Maßnahmen 
O Profile bilden damit eine pauschalisierte Vorauswahl von 
IT-Grundschutz-Elementen mit spezifischen Ergänzungen 


o Profile werden in der Regel durch Dritte (Verbände, 
Branchen.,...), nicht durch das BSI erstellt 





En Zeitlicher Überblick 


O Nächste klassische Ergänzungslieferung Ende 2015 


O Weiterhin Einbeziehung der Stakeholder 
O Bereitstellung modernisierter / neuer Komponenten ab 
Anfang 2016 
O Vorgehensweisen 
O Bausteine 
O Migration marktgängiger Tools 2016 
o Umstellung der IT-Grundschutz-Zertifizierung in 2017 
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IT-Sicherheitsgesetz 
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S 8a (1) 


Betreiber Kritischer Infrastrukturen sind verpflichtet, ... 

angemessene organisatorische und technische Vorkehrungen zur 
Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und 
Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder 
Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen 
Kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik 
zu berücksichtigen. 


Begründung: 

Stand der Technik in diesem Sinne ist der Entwicklungsstand 
fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die 
praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit 
von informationstechnischen Systemen, Komponenten oder Prozessen 
gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und 
Vertraulichkeit gesichert erscheinen läßt. 
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Betreiber Kritischer Infrastrukturen sind verpflichtet, ... 

angemessene organisatorische und technische Vorkehrungen zur 
Vermeidung v törungen“der Verfügbafkeit, Integrität, Authentizität und 
Vertraulichkeit ihrer i technischen Systeme, Komponenten oder 
Prozesse zu treffen, die fürdie Funktionsfähigkeit der von ihnen betriebenen 
Kritischen Infrastrukturen maßgeblich. sind. Dabei ist der Stand der Technik 
zu berücksichtigen. 















Begründung: 
Stand der Technik in diesem Sinneist der Entwicklung 
fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die 
praktische Eignung einer Malsnahme zum Schutz der Funktionsfähigkeit 
von informationstechnischen Systemen, Komponenten oder Prozessen 
gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und 
Vertraulichkeit gesichert erscheinen läßt. 
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IT-Sicherheitsgesetz 


sondern als 
Orientierungshilfe 
| für 
- Stand der Technik 
- branchenspezifische Sicherheitsstandards 





< Modernisierter IT-Grundschutz nicht als Vorgabe, 
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